Аппаратные OATH токены для Azure MFA

Аппаратные TOTP токены для Azure MFA могут быть двух видов:

  • Классические аппаратные токены с предустановленными секретными ключами — такие как Protectimus Two. Для подключения классических OATH токенов к Azure нужна лицензия Azure AD Premium P1 или P2.
  • Программируемые аппаратные токены для Azure MFA Protectimus Slim NFC и Protectimus Flex, которые подключаются вместо приложения Microsoft Authenticator. Эти токены можно использовать без Premium подписки.

В этой статье мы расскажем, как подключить каждый из этих токенов к Azur. Все три типа токенов для Azure MFA можно приобрести здесь.

Классические OATH токены для Azure MFA

В настоящее время Azure AD поддерживает OTP токены с секретными ключами длиной не более 128 символов и сроком действия одноразовых паролей 30 или 60 секунд. Токены Protectimus Two соответствуют этим требованиям.

После того, как вы закажите и получите OATH токены Proectimus Two, а также секретные ключи к ним, необходимо будет добавить токены в сервис Azure. Как это сделать описано в пошаговом руководстве ниже:

Шаг 1. Подготовьте CSV файл, в котором указаны имя пользователя в формате UPN (User Principal Name), серийный номер токена (serial number), секретный ключ (secret key), интервал времени (timeinterval), производитель и модель аппаратного токена для Azure AD MFA (manufacturer, model). Результат должен выглядеть примерно так, обратите внимание, верхняя строка обязательна:

Как добавить аппаратные токены в Ажур - пример csv файла

Шаг 2. После того, как CSV файл будет создан и правильно оформлен, его необходимо загрузить в Azure. Войдите в свою учетную запись в портале Microsoft Azure, перейдите во вкладку Azure Active Directory, затем выбрать Группа безопасности и перейти во вкладку MFA. На странице MFA (Многофакторная идентификация — Начало работы) выберите OATH-токены (OATH tokens) и нажмите кнопку Отправка (Upload).  Загрузите ваш CSV файл. Процесс загрузки может занять несколько минут.

Как добавить OATH токены в Azure MFA - загрузка csv файла с секретными ключами

Шаг 3. Нажмите кнопку Обновить (Refresh). Если CSV-файл был успешно загружен, вы увидите список аппаратных токенов, если в файле допущена ошибка, вы получите уведомление об этом.

Если файл загружен успешно:

Загрузка OATH токенов в Azure MFA - без ошибки

Если файл загружен с ошибкой:

Загрузка OATH токенов в Azure MFA - произошла ошибка

Шаг 4. Теперь вам нужно активировать аппаратный OTP токен для двухфакторной аутентификации в Azure. Если вы загрузили несколько токенов, нужно будет активировать их один за другим. Нажмите кнопку Активировать (Activate) в последнем столбце справа и введите пароль, сгенерированный соответствующим OATH токеном для Azure MFA. После этого нажмите кнопку OK.

Активация аппаратного OATH токена в Azure MFA

Шаг 5. Как только ваш одноразовый пароль пройдет проверку на сервере двухфакторной аутентификации, вы получите сообщение об успешной активации токена. Также в соответствующем столбце — Активирован (Activated) — появится галочка. Теперь ваш токен успешно активирован и его можно использовать для входа.

Аппаратный токен в Azure MFA активирован

Шаг 6. Настройки двухфакторной аутентификации в учетной записи пользователя.

OATH-токены будут автоматически назначены пользователю в качестве основного метода двухфакторной аутентификации, только если ранее пользователь не использовал другой способ доставки одноразовых паролей.

При входе в систему вам будет предложено ввести код из приложения для двухфакторной аутентификации. Просто введите одноразовый пароль с аппаратного токена, он сработает.

<

Если до добавления аппаратных OATH токенов пользователь входил в учетную запись с помощью любого другого метода 2FA (например, SMS-аутентификации), это метод останется основным, пока вы не измените настройки двухфакторной аутентификации в учетной записи пользователя. Чтобы сделать OATH токены основным методом двухфакторной аутентификации:

  • войдите в учетную запись пользователя, используя старый метод 2FA
  • войдите в настройки Дополнительной проверки безопасности
  • выберите «Использовать код проверки из приложения или токена» в качестве варианта проверки по умолчанию

Обратите внимание, что вы можете использовать несколько методов 2FA одновременно. Например, можно добавить приложение для двухфакторной аутентификации в качестве альтернативного метода.

При создании программного токена выберите настройку приложения без уведомлений.

В этом оба одноразовых пароля (и из аппаратного токена, и из 2FA приложения) сработают при вводе в это поле:

Можно даже использовать все три метода двухфакторной аутентификации вместе (OATH токен, 2FA приложение и SMS-аутентификацию).

Программируемые аппаратные токены для Azure MFA

Как уже было упомянуто выше, для использования классических аппаратных токенов с Microsoft Azure MFA необходима Premium подписка, которая стоит от 6 евро в месяц за одного пользователя. Если же вы не оформили лицензию Azure AD Premium P1 или P2, вам подойдут программируемые аппаратные токены Protectimus Slim NFC или Protectimus Flex. Эти токены распознаются системой Azure MFA как приложения для двухфакторной аутентификации, поэтому для их подключения не требуется премиум-подписка.

Подключить токен Protectimus Slim NFC или Protectimus Flex к Azure MFA довольно легко. Все, что нужно сделать, это зайти на страницу настроек MFA, начать выпуск программного токена Microsoft Authenticator и использовать секретный ключ для прошивки аппаратного токена Protectimus Slim NFC или Protectimus Flex вместо приложения. Весь процесс занимает всего несколько минут и подробно описан здесь.

Часто задаваемые вопросы

Учитывает ли Azure MFA возможность рассинхронизации времени между токеном и сервером?

Microsoft не предоставляет точной информации о поддержке автоматической синхронизации времени в Azure MFA, но указывают, что реализация основана на стандарте RFC 6238. Это говорит о том, что вопрос смещения временного интервала должен учитываться. Сервер Azure MFA допускает расхождение во времени в диапазоне 900 секунд, это значит, что поддержка синхронизации времени на самом деле не требуется. Но если вы хотите держать этот вопрос под контролем, используйте токены Protectimus Slim NFC или Protectimus Flex с функцией синхронизации времени. Каждый раз при прошивке секретного ключа в токене устанавливается точное текущее время.

Почему аппаратный токен лучше для Azure MFA, чем 2FA приложения, SMS или телефонные звонки?

На данный момент аппаратный токен — самое надежное средство для генерации одноразовых паролей. Аппаратный токен — это полность автономное устройство без подключения к какой-либо сети. У хакеров просто нет возможности заразить устройство вирусом или перехватить сгенерированные одноразовые коды. Если аппаратный токен будет украден или утерян, вы, скорее всего, заметите это немедленно. Если же приложение для двухфакторной аутентификации будет заражено вирусом или злоумышленник перехватит SMS с одноразовым паролем, вы можете еще долго не знать о нанесенном ущербе или узнать слишком поздно.

Можно ли заказать аппаратный токен с логотипом моей компании?

Аппаратный токен Protectimus Slim NFC может быть выполнен в вашем дизайне даже при заказе от одной штуки. Брендирование для токенов Protectimus TWO и Protectimus Flex доступно при заказе от 1000 устройств и больше.

Поддерживает ли Protectimus Slim NFC несколько секретных ключей одновременно?

Нет, в токен Protectimus Slim NFC можно добавить только один секретный ключ. При каждой прошивке токена старый секретный ключ стирается и заменяется новым.

Читайте также

Subscribe To Our Newsletter

Join our mailing list to receive the latest news and updates from our team.

You have Successfully Subscribed!

Author: Anna

Если у вас есть вопросы о двухфакторной аутентификации или продуктах Protectimus, задайте их Анне и вы получите экспертный ответ. Она знает всё об одноразовых паролях, OTP токенах, 2FA приложениях, OATH алгоритмах, о том, как работает двухфакторная аутентификация и от чего она защищает. Анна точно объяснит разницу между TOTP, HOTP и OCRA, поможет выбрать токен для Azure MFA, расскажет, как настроить двухфакторную аутентификацию в Windows или Active Directory. За годы работы в Protectimus Анна стала настоящим экспертом в кибербезопасности и разобралась во всех нюансах сервиса Protectimus, поэтому даст совет по любому вопросу, пишите в комментарии.

Share This Post On

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This